Ein CSR (Certificate Signing Request) ist eine Nachricht, die ein Antragsteller (oder Abonnent) in einer Public-Key-Infrastruktur an eine Zertifizierungsstelle (CA) sendet und mit der er die Ausstellung eines Public-Key-Zertifikats (digitales Zertifikat) anfordert.
Um solche Zertifikate zu erhalten, generiert der Antragsteller zunächst ein Schlüsselpaar, das aus einem öffentlichen und einem privaten Schlüssel besteht, speichert den privaten Schlüssel sicher und nimmt den öffentlichen Schlüssel in die an die Zertifizierungsstelle übermittelte CSR auf. Sobald die Zertifizierungsstelle die Anfrage überprüft und genehmigt hat, stellt sie dem Antragsteller ein digitales Zertifikat aus, das mit dem privaten Schlüssel der Zertifizierungsstelle digital signiert ist. Neben den öffentlichen Schlüsselinformationen enthält der CSR auch einen „Distinguished Name (DN)“, der strukturierte Details wie den offiziellen Namen und die Adresse der Organisation enthält.
Zertifizierungsstellen, die als Antwort auf CSRs Zertifikate ausstellen, können grob in zwei Typen eingeteilt werden: öffentliche und private.
Öffentliche Zertifizierungsstellen sind anerkannte offizielle Stellen, deren Stammzertifikate (Zertifikate, die die Authentizität der Zertifizierungsstelle bestätigen) in Webbrowsern, E-Mail-Clients oder anderen Applications vorinstalliert sind, wodurch eine automatische Validierung der ausgestellten Zertifikate ermöglicht wird. Zertifikate für öffentlich zugängliche Server, wie etwa SSL-Zertifikate für Webserver oder Zertifikate für die sichere externe Kommunikation, müssen im Allgemeinen von einer öffentlichen Zertifizierungsstelle bezogen werden.
Private Zertifizierungsstellen hingegen werden innerhalb einzelner Organisationen oder Unternehmen auf der Grundlage ihrer internen Betriebsrichtlinien betrieben. Von privaten Zertifizierungsstellen ausgestellte Zertifikate werden von Browsern oder externen Systemen nicht öffentlich als vertrauenswürdig anerkannt. Beispielsweise löst eine öffentlich zugängliche Website, die ein von einer privaten Zertifizierungsstelle ausgestelltes SSL-Zertifikat verwendet, eine Sicherheitswarnung im Browser aus, die auf die fehlende öffentliche Validierung des Zertifikats hinweist. Von privaten Zertifizierungsstellen ausgestellte Client-Zertifikate können jedoch ohne praktische Probleme effektiv zu Authentifizierungszwecken in internen Unternehmenssystemen eingesetzt werden.
Darüber hinaus bietet F5 in seinem BIG-IP Access Policy Manager (APM) eine Funktion zur Client-Zertifikatsauthentifizierung, einschließlich einer integrierten Private-CA-Funktion zur Vereinfachung der Verwaltung und Bereitstellung von Client-Zertifikaten.